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® Prozessautomatisierungssystem und Prozessgeratfur ein Prozessautomatisierungssystem 
®) In einem Prozessautomatisierungssystem, in dem Pro- 

zessgerate (1 bis 6) vorgegebene Funktionen im Rahmen 

der Prozessautomatisierung ausfuhren und dabei mit 

dem Prozessautomatisierungssystem funktions- und/ 

Oder geraterelevante Daten (23, 24) austauschen, wird zu- 

mindest em Teil der Daten (23, 24) verschlusselt ausqe- 

tauscht. 



o 
o 

00 
CM 




jLl 
10 L 



1 

Beschreibung 



DE 101 24 800 A 1 



[0001] Die Erfindung betrifft ein Prozessautomatisie- 
rungssystem und ein Prozessgerat fur ein Prozessautomati- 
sierungssystem. 

[0002] In zunehmendem MaBe ergibt sich die Forderung 
nach einer Ubertragung von Daten zwischen einem Prozess- 
automatisierungssystem oder Teilen oder Komponenten da- 
von und externen SteUen. Beispiele dafiir sind Fernpro- 
grammierung, FernparameLrierung, Femwartung oder Fern- 
diagnose. So ist es aus der DE 198 48 618 Al bekannt, zur 
Femwartung und/oder Diagnose von der externen SteUe an 
das Prozessautomatisierungssystem zu ubertragende Daten 
z. B^em Steuerbefehl, in eine E-Mail zu verpacken, diese an 
das Prozessautomatisierungssystem zu adressieren und dort- 
hin abzusenden. Innerhalb des Prozessautomatisierungssy- 
stems wird die E-Mail von dem Adressaten empfangen der 
den Steuerbefehl durch Decodieren extrahiert und an die 
Anwendung, fur die der Steuerbefehl bestimmt ist, weiter- 
leitet. Umgekchrt konnen in gleicher Weise Daten von dem 
Prozessautomatisierungssystem an externe Stellen ubermit- 
telt werden. SpezieUe Datenverbindungen zwischen dem 
Prozessautomatisierungssystem und den externen SteUen 
sind dazu mcht erforderlich, weil standardmaBige Daten- 
ubertragungssysteme (globale und/oder lokale Datennetze 
wie z. B. Internet bzw. Intranet) in Verbindung mit einem 
elektronischen SchutzwaU (Firewall) urn das Prozessauto- 
matisierungssystem verwendet werden konnen, wobei der 
elektromsche Schutzwall fur die E-Mails durchlassig ist 
(sog. E-Mail-Tunneling). 

[0003] Zur Erhohung der Sicherheit gegen ein unerlaubtes 
Emdnngen m den Schutzwall des Prozessautomatisierungs- 
systems konnen die in der E-Mail verpackten Daten ver- 
schlusselt und anschlieBend beim Extrahieren aus der E- 
Mail wieder entschliisselt werden, bevor sie weitergeleitet 
werden. Dabei erfolgt die Verschlusselung der an die ex- 
terne Stelle zu ubermittelnden Daten bzw. die Entschlusse- 
lung der von der externen Stelle empfangenen Daten inner- 
halb des Prozessautomatisierungssystems in einer einzigen 
Verschlusselungs- bzw. Entschlusselungsvorrichtung. Es ist 
daher nicht ohne weiteres moglich, einen ausgewahlten Teil 
der Daten, z. B. sicherheitsrelevante Daten, verschlusselt 
und die ubrigen Daten unverschlusselt zwischen dem Pro- 
zessautomatisierungssystem und der externen Stelle auszu- 
tauschen. Statt dessen werden, soweit eine Verschlusselung 
vorgcsehen ist, alle uber den elektronischen Schutzwall aus- 
zutauschenden Daten pauschal verschlusselt, was mit einem 
entsprechenden Aufwand und einer Reduzierung der Daten- 
ubertragungsgeschwindigkeit verbunden ist. Ferner ist der 
Austausch der verschlusselten Daten zwischen dem Pro- 
zessautomatisierungssystem und den externen SteUen auf 
den Weg uber die Verschlusselungs- und Entschlusselungs- 
vorrichtung in dem Prozessautomatisierungssystem be- 
schrankt, so dass es nicht moglich ist, verschlusselte Daten 
an unterschiedUchen Orten innerhalb des Prozessautomati- 
sierungssystems zu kommunizieren. SchUeBlich sind zu 
sendende Daten vor ihrer Verschlusselung und empfangene 
Daten nach ihrer Entschlusselung innerhalb des Prozessau- 
tomatisierungssystems manipulierbar. 
[0004] Die Verschlusselung vertrauhcher Daten vor ihrer 
Ubertragung an einen Empfanger ist allgemein bekannt. Bei 
dem so genannten offentUchen Verschlusselungs verfahren 
verwendet der Sender einen offentlichen Schliissel des be- 
rechtigten Empfangers zur Verschlusselung der Daten so 
dass nur dieser die Daten mit seinem eigenen privaten 
Schlussel entschliisseln kann. Die Authentifizierung des 
Senders kann durch Signieren der Daten erfolgen. Dazu ver- 
schlusselt der Sender die Daten mit seinem eigenen nrivaten 
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Schliissel, wahrend der Empfanger zur Entschlusselung der 
Daten den offentlichen Schliissel des Senders verwendet. 
Mit offentlichen Schlusseln verschlusselte Daten sind nicht 
notwendigerweise authentisch, wahrend mit privaten 
Schlusseln signierte Daten nicht vertraulich sind. Zur Her- 
steUung von Vertraulichkeit und Authentizitat konnen daher 
Verschlusselung und Signierung kombiniert werden, wozu 
der Sender die Daten zunachst mit dem eigenen privaten 
Schliissel und anschUeBend mit dem offentlichen Schliissel 
des Empfangers verschlusselt. Urn schlieBlich auch noch die 
Integritat, d. h. die Unverfalschtheit, der ubertragenen Daten 
zu gewahrleisten, kann der Sender aus den Daten einen 
Priifcode bestimmen, der signiert, d. h. mit dem sendereige- 
nen pnvaten Schlussel verschlusselt, an den Empfanger 
ubertragen wird. Der Empfanger entschliisselt den Priifcode 
mit dem offentlichen Schlussel des Senders und vergleicht 
den so entschlusselten Priifcode mit dem aus den empfange- 
nen Daten berechneten Priifcode; wenn beide Priifcodes 
gleich sind, ist die Integritat der Daten gesichert. 
[0005] Der Erfindung licgt die Aufgabe zugrunde, eine 
flexible und zugleich sichere Handhabung ausgewahlter 
wichtiger Daten eines Prozessautomatisierungssystems zu 
ermoglichen. 

[0006] GemaB der Erfindung wird die Aufgabe durch das 
Prozessautomatisierungssystem nach Anspruch 1 bzw. das 
Prozessgerat nach Anspruch 5 gelost. 
[0007] Vorteilhafte Weiterbildungen des erfindungsgema- 
Ben Prozessautomatisierungssystems bzw. Prozessgerats 
sind in den Unteranspriichen angegeben. 
[0008] In dem erfindungsgemaBen Prozessautomatisie- 
rungssystem fuhren Prozessgerate vorgegebene Funktionen 
im Rahmen der Prozessautomatisierung aus und tauschen 
dabei mit dem Prozessautomatisierungssystem funktions- 
und/oder geraterelevante Daten aus, wobei zumindest ein 
Teil der Daten verschlusselt ausgetauscht wird. 
[0009] Das erfindungsgemaBe Prozessgerat fur ein Pro- 
zessautomatisierungssystem enthalt eine Funktionseinrich- 
tung zur Ausfuhrung vorgegebener Funktionen im Rahmen 
der Prozessautomatisierung und eine mit der Funktionsein- 
richtung verbundene und an das Prozessautomatisierungssy- 
stem anschHeBbare Kommunikationseinrichtung zum Aus- 
tausch funktions- und/oder geraterelevanter Daten mit dem 
Prozessautomatisierungssystem, wobei die Kommunikati- 
onseinrichtung den Austausch zumindest eines Teils der Da- 
ten verschlusselt durchfuhrende Mittei aufweist. 
[0010] Die Verschlusselung bzw. Entschlusselung von 
Daten erfolgt in den Prozessgeraten, also den Sendern und 
Empfangern der Daten, wobei die verschlusselten Daten in- 
nerhalb des Prozessautomatisierungssystems auf dieselbe 
Weise wie unverschlusselte Daten kommuniziert werden. 
Unter Prozessgeraten sind Feldgerate, Wartengerate und 
sonstige Endgerate zu verstehen, also bei spiels weise Mess- 
umformer, Aktoren, Antriebe, Analysengerate, Steuerungen 
und Regler. So sind z. B. Messumformer Sender von Mess- 
daten und Empfanger von Parametrierungsdaten, die zu ih- 
rer Parametrierung dienen. In dem Umfange, in dem diese 
Daten als sicherungsbedurftig angesehen werden, werden 
sie uber die Kommunikationseinrichtung des Messumfor- 
mers verschlusselt mit dem Prozessautomatisierungssystem 
ausgetauscht; andere, nicht als sicherungsbedurftig einge- 
stufte Daten werden unverschliisselt ausgetauscht. Je nach 
Verschlusselung sind die verschlusselten Daten gegen Mani- 
pulation geschutzt und/oder konnen nur von einem berech- 
tigten Empfanger empfangen werden, wobei zusatzlich der 
Sender authentifizierbar ist. Sender und Empfanger von Da- 
ten konnen gleichermaBen die Prozessgerate innerhalb des 
Prozessautomatisierungssystems wie auch externe Stellen 
sein. die heliebig an das Pro7essautomaHsieninPssvstem an- 
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gekoppelt werden konnen. 

[0011] In der Hardware, durch Programmierung oder 
durch ggf. verschlusselt durchzufiihrende Parametrierung 
der Prozessgerate ist festgelegt, welche Daten als siche- 
rungsbediirftig gelten und verschlusselt auszutauschen sind. 
So werden sicherungsbedurftige Sendedaten automatisch 
verschlusselt, bevor sie abgesandt werden, und empfangene 
Daten konnen nur nach Entschlusselung in dem Prozessge- 
rat weiterverarbeitet werden. Dabei kann ein Teil der Daten 
sowohl unverschlusselt als auch parallel dazu verschlusselt 
ausgetauscht werden. Ein Beispiel hierfur sind Messdaten, 
die sowohl in dem Prozessautomatisierungssystem im Rah- 
men der Steuerung und Regelung unverschlusselt weiterver- 
arbeitet werden als auch bei eichpflichtigen Applikationen 
oder fur amtliche Uberwachungszwecke verwendet und 
dazu verschlusselt werden. So konnen z. B. eichfahige Wa- 
gedaten von Industriewaagen verschlusselt an einen exter- 
nen Datenspeicher oder eine Anzeige ausgegeben werden, 
ohne dass der Datenubertragungsweg gekapselt werden 
muss, und gleichzeitig mit den unverschliissclten Wageda- 
ten beispielsweise ein Abfullvorgang gesteuert werden. Da 
hier z. B. die verschlusselten Daten im Wesentlichen fur Re- 
gistrierungszwecke verwendet werden, kann vorgesehen 
werden, dass die verschlusselten Daten gegenuber den un- 
verschlusselten Daten nachrangig, d. h. mit niedrigerer Prio- 
ritat, kommuniziert werden, so dass die Steuerung und Re- 
gelung mit den unverschlusselten Daten nicht beeintrachtigt 
wird. Dabei kann insbesondere vorgesehen werden, dass 
verschlusselte Daten zunachst, ggf. mit Zeitstempeln verse- 
hen, gesammelt werden, bevor sie zu einem spateren Zeit- 
punkt beispielsweise in einem Datenpaket gebundelt kom- 
muniziert werden. 

[0012] Zur weiteren Erlauterung der Erflndung wird im 
Folgenden auf die Figuren der Zeichnung Bezug genom- 
men; im Einzelnen zeigen 

[0013] Fig. 1 ein Ausfuhrungsbeispiel des erfindungsge- 
maBen Prozessautomatisierungssystems und 
[0014] Fig. 2 ein Ausfuhrungsbeispiel des erfindungsge- 
mafien Prozessgerats . 

[0015] Fig. 1 zeigt in schematischer Darstellung ein Pro- 
zessautomatisierungssystem mit einer Vielzahl von Prozess- 
geraten, die vorgegebene Funktionen im Rahmen der Pro- 
zessautomatisierung ausfuhren und dabei funktions- und/ 
oder geraterelevante Daten mit dem Prozessautomatisie- 
rungssystem austauschen. Unter Prozessgeraten sind hier 
Datenendgerate, also Sender und Empfanger von Daten zu 
verstehen. Insbesondere gehoren dazu Feld- und Wartenge- 
rate, z. B. Messumformer 1 flir Druck, Temperatur, Durch- 
fluss, Fullstand usw., Analysengerate 2 fur Gas- oder Hus- 
sigkeitsanalyse, Wagesysteme 3, Stellungsregler fiir Ventile 
und sonstige dezentrale Regler 4, Stellantriebe 5, Registrier- 
und Anzeigegerate 6. Zum Austausch der Daten innerhalb 
des Prozessautomatisierungssystems sind die Prozessgerate 
im dezentralen Peripheriebereich zusammen mit dezentraler 
Steuerung und Regelung 7 und Bedienung und Beobachtung 
8 iiber Feldbusse 9 oder andere Kommunikationswege mit- 
einander verbunden, wobei unterschiedliche Feldbusse 9 
uber Buskoppler 10 miteinander verbunden sind. Die Feld- 
busse 9 sind wiederurn uber Steuereinrichtungen 11 an ei- 
nem zentralen Anlagenbus 12 angebunden, an dem auch 
eine zentrale Steuerung und Regelung 13 und Bedienung 
und Beobachtung 14 angeschlossen ist. Der Anlagenbus 12 
ist uber eine Koppeleinrichtung 15 mit einem giobalen 
Kommunikationsnetz 16, z. B. Internet, verbunden, urn ei- 
nen Datenaustausch mit extemen Stellen 17 beispielsweise 
zur Fem warning, -diagnose, -parametrierung, -uberwa- 
chung usw. des Prozessautomatisierungssystems bzw. ein- 
zelner Prozessgerate zu ermoplichen. SchlieRlich Iconnen 



weitere externe Stellen 18, z. B. Programmier-, Diagnose- 
oder Servicegerate an unterschiedlichen Punkten des Pro- 
zessautomatisierungssystems angekoppelt werden. 
[0016] Vorgegebene sicherungsbedurftige Daten des Pro- 
5 zessautomatisierungssystems werden verschlusselt ausge- 
tauscht, wobei je nach Verschlusselung sichergestellt ist, 
dass diese Daten auf dem Wege von dem Sender zu dem 
Empfanger oder den Empfangern gegen Manipulation ge- 
schutzt sind und/oder nur von einem berechtigten Empfan- 
10 ger empfangen werden konnen, wobei zusatzlich der Sender 
authentifizierbar ist. Die Verschlusselung bzw. Entschlusse- 
lung erfolgt in den Datenendgeraten, also den Sendern bzw. 
Empfangern, hier den Prozessgeraten bzw. externen Stellen, 
wobei die verschlusselten Daten innerhalb des Prozessauto- 
15 matisierungssystems genauso wie unverschlusselte Daten 
iibertragen werden. 

[0017] Fig. 2 zeigt ein Prozessgerat, hier z. B . einen Mess- 
umformer 1 mit einer Funkuonseinrichtung 19 zur Ausfiih- 
rung der Messfunktion und mit einer mit der Funktionsein- 
20 richtung 19 verbundenen und an das Prozessautomatisie- 
rungssystem, hier den Feldbus 9, anschlieGbaren Kommuni- 
kationseinrichtung 20 zum Austausch funktions- und/oder 
geratereievanter Daten mit dem Prozessautomatisierungssy- 
stem. Die Funkuonseinrichtung 19 umfasst einen Sensor 21 
25 und eine Messwerterfassung und -berechnung 22, die Mess- 
daten, Diagnosedaten und sonstige gerate- oder funktions- 
spezifische Daten 23 generiert und Befehls-, Parametrier- 
und sonstige ihr zugefuhrte Daten 24 verarbeitet. Diese Sen- 
dedaten 23 und Empfangsdaten 24 werden uber die Kom- 
30 munikationseinrichtung 20 des Messumformers 1 mit dem 
Prozessautomausierungssystem ausgetauscht. Durch Hard- 
wareverschaltung oder Programmierung ist festgelegt, wel- 
che der Sendedaten 23 in einer Verschlusselungsvorrichtung 
25 verschlusselt werden. Bei Empfangsdaten 24 erkennt die 
35 Kommunikationseinrichtung 20, welche der Daten ver- 
schlusselt sind und enl5chlusselt diese in einer Entschliissel- 
ungsvorrichtung 26. Die Verschlusselung bzw. Entschlusse- 
lung der Daten 23 und 24 erfolgt hier nach dem offentlichen 
Verschlusselungsverfahren. Dazu enthalt jedes Prozessge- 
40 rat, hier also der Messumformer 1, einen eigenen privaten 
Schlussel sowie einen dazu korrespondierenden offentlichen 
Schliissel, wobei die Schlussel in dem Messumformer 1 hin- 
terlegt oder von diesem selbst generiert werden. Im Unter- 
schied zu dem unzuganglich abgespeicherten privaten 
45 Schlussel wird der offentliche Schlussel bei der Einbindung 
des Messumformers 1 in das Prozessautomatisierungssy- 
stem, z. B. bei der Inbetriebnahme, einer zentralen Schlus- 
selverwaltung 27 (Fig. 1) mitgeteilt, fur die ein separates 
Gerat vorgesehen sein kann oder die in einem bereits vor- 
50 handenen Gerat, z. B. einer speicherprogrammierbaren 
Steuerung, des Prozessautomatisierungssystems implemen- 
tiert ist. Externe Stellen 18, die mit Prozessgeraten Daten 
austauschen wollen, melden sich zuvor automatisch bei der 
Schlusselverwaltung 27 an und hinterlegen dort nach Uber- 
55 priifung ihrer Identitat ihren jeweiligen offentlichen Schlus- 
sel. Die zentrale Schlusselverwaltung 27 gewahrleistet die 
Authentizitat der verwalteten offentlichen Schlussel, indem 
diese jeweils mit dem privaten Schlussel der Schlusselver- 
waltung 27 signiert werden, so dass mit Hilfe des offentli- 
60 chen Schlussels der Schlusselverwaltung 27 jederzeit die 
Authentizitat der offentlichen Schlussel gepriift werden 
kann. 

[0018] Ist z. B. vorgesehen, dass die Einstellung eines be- 
stimmten Parameters in einem Prozessgerat, z. B. 4, nur 
65 durch eine autorisierte externe Stelle 18 moglich sein soli, 
so wird der an das Prozessgerat 4 zu ubertragende Einstell- 
wert in der externen Stelle 18 derart verschlusselt, dass die 
Tntefmtat des F.instellwerts heim F.mnfanp Hurch Has Pro- 
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zessgerat 4 sichergestellt ist und dass femer das Prozessge- 
rat 4 die Identitat der externen SteUe 18 und damit deren Be- 
rechtigung zur Parametereinstellung feststellen kann. 
[0019] Es kann vorgesehen sein, dass ein und dieselben 
Daten, hier z. B. die Messdaten des Messurnformers 1, an 5 
bestimmte Empfanger, z.B. ein eichpflichtiges Registrier- 
oder Anzeigegerat, verschlusselt und an andere Empfanger, 
z.B. die Messdaten weiterverarbeitende Regler, un ver- 
schlusselt ubertragen werden. In der Regel werden nur die- 
jemgen Daten verschlusselt ubertragen, die sicherungsbe- 10 
durftig sind; alle ubrigen Daten, insbesondere die zur Pro- 
zesssteuerung und -regelung dienenden Daten, werden iiber- 
wiegend unverschliisselt ubertragen. Urn die Prozesssteue- 
rung und -regelung nicht zu beeintrachtigen, werden die un- 
verschliisselten Daten mit hoherer Prioritat als die ver- 15 
schlusselten Daten kommuniziert, wozu die verschlusselten 
bzw. zu verschliisselnden Daten zunachst in einem Speicher 
28 des Prozessgerats 1 gesammelt werden konnen. 
[0020] Die hier beschriebene Datenverschlusselung er- 
moglicht also insbesondere eine falschungssichere Fempa- 20 
rametrierung von Prozessgeraten oder einen autorisierten 
Service von beliebigen Steilen aus, eine sichere amtliche 
Uberwachung von Messwerten oder Prozesszustanden, eine 
falschungssichere Ubertragung von sicherheitsrelevanten 
und/oder vertraulichen Daten, Diagnosedaten oder Anlagen- 25 
parametem, wie z.B. Rezepturen, die Ubertragung von 
eichfahigen Daten ohne das Erfordernis einer Kapselung der 
Ubertragungswege, uvm. 



Patentanspriiche 30 

1. Prozessautornatisierungssystem, in dem Prozessge- 
rate (1 bis 6) vorgegebene Funktionen im Rahmen der 
Prozessautomatisierung ausfuhren und dabei mit dem 
Prozessautornatisierungssystem funktions- und/oder 35 
geraterelevante Daten (23, 24) austauschen, wobei zu- 
mindestein Teil der Daten (23, 24) verschlusselt ausge- 
tauscht wird. 

2. Prozessautornatisierungssystem nach Anspruch 1, 
dadurch gekennzeichnet, dass zumindest ein Teil der 40 
Daten (23, 24) verschlusselt und parallel dazu unver- 
schliisselt ausgetauscht wird. 

3. Prozessautornatisierungssystem nach Anspruch 1 
oder 2, dadurch gekennzeichnet, dass verschliisselte 
Daten gegeniiber unverschliisselten Daten nachrangig 45 
ausgetauscht werden. 

4. Prozessautornatisierungssystem nach Anspruch 3, 
dadurch gekennzeichnet, dass verschliisselte Daten zu- 
nachst in einem Speicher (28) des Prozessgerats (1) ge- 
sammelt und danach ausgetauscht werden. 50 

5. Prozessgerat (1) fur ein Prozessautornatisierungssy- 
stem mit einer Funktionseinrichtung (19) zur Ausfuh- 
rung vorgegebener Funktionen im Rahmen der Pro- 
zessautomatisierung und mit einer mit der Funktions- 
einrichtung (19) verbundenen und an das Prozessauto- 55 
matisierungssystem anschlieBbaren Kommunikations- 
einrichtung (20) zum Austausch funktions- und/oder 
geraterelevanter Daten (23, 24) mit dem Prozessauto- 
rnatisierungssystem, wobei die Kommunikationsein- 
richtung (20) den Austausch zumindest eines Teils der 60 
Daten (23, 24) verschlusselt durchfuhrende Mittel (25, 
26) aufweist. 
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